Das Address Resolution Protocol (ARP) wird verwendet, um eine IP-Adresse in die MAC-Adresse des Ziels aufzulösen. Dies wird auf Layer 2 des OSI-Modells ausgeführt. Es verwendet eine Nachschlagetabelle (ARP-Cache), um die IP-Adresse in der MAC-Adresszuordnung zu speichern. ARP Inspection wird verwendet, um eine Vergiftung des ARP-Cache zu verhindern. Die Vergiftung des ARP-Cache kann dazu führen, dass nicht autorisierte Benutzer den Netzwerkverkehr steuern und abfangen.
In diesem Artikel wird die Konfiguration der ARP-Inspektionskonfiguration für ESW2-350G-Switches erläutert.
· ESW2-350G
· ESW2-350G-DC
· v1.2.6.28
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > ARP Inspection > Properties aus. Die Seite Eigenschaften wird geöffnet:
Schritt 2: Aktivieren Sie im Feld ARP Inspection Status (ARP-Inspektionsstatus) die Option Enable (Aktivieren), um die ARP-Inspektionsfunktion zu aktivieren. Diese Funktion ist standardmäßig deaktiviert.
Hinweis: Die ARP-Prüfung wird nur an nicht vertrauenswürdigen Schnittstellen durchgeführt. Pakete von vertrauenswürdigen Schnittstellen werden weitergeleitet.
Schritt 3: Aktivieren Sie im Feld ARP Packet Validation (ARP-Paketvalidierung) die Option Enable (Aktivieren), um die Paketvalidierung in ARP zu aktivieren. Diese Funktion ist standardmäßig deaktiviert. Wenn dieses Feld markiert ist, werden die folgenden Werte mit den vorhandenen Datenbanken verglichen, um externe Angriffe zu verhindern:
· Quell-MAC - Die Quell-MAC-Adresse des Pakets im Ethernet-Header wird mit der MAC-Adresse des Absenders in der ARP-Anfrage verglichen. Diese Prüfung wird sowohl für ARP-Anfragen als auch für Antworten durchgeführt.
· Ziel-MAC - Die Ziel-MAC-Adresse des Pakets im Ethernet-Header wird mit der MAC-Adresse der Zielschnittstelle verglichen. Diese Prüfung wird nur für ARP-Antworten durchgeführt.
· IP-Adressen - Dieser Parameter vergleicht den ARP-Dateninhalt mit ungültigen und unerwarteten IP-Adressen. IP-Adressen umfassen 0.0.0.0, 255.255.255.255 und alle IP-Multicast-Adressen.
Hinweis: ARP Inspection verwendet außerdem eine DHCP-Snooping-Binding-Datenbank (sofern DHCP-Snooping aktiviert ist), um zusätzlich zu den Zugriffskontrollregeln die IP-Adresse des Pakets zu überprüfen. Weitere Informationen finden Sie im Artikel DHCP Snooping Binding Database Configuration on ESW2-350G Switches.
Schritt 4: Klicken Sie im Feld Log Buffer Interval (Protokollpuffer-Intervall) auf eines der Optionsfelder:
· Häufigkeit erneut versuchen - Aktiviert das Senden von SYSLOG-Nachrichten für verworfene Pakete. Geben Sie die Häufigkeit ein, mit der die Nachrichten gesendet werden. Die Standardfrequenz beträgt 5 Sekunden. Der Bereich liegt zwischen 0 und 86.400 Sekunden.
· Never (Niemals): Deaktiviert SYSLOG-verworfene Paketmeldungen.
Schritt 5: Klicken Sie auf Apply, um die Änderungen vorzunehmen. Die Einstellungen werden definiert, und die aktuelle Konfigurationsdatei wird aktualisiert.